Exchange - změna lokálních (interních) názvů domén na FQDN

Následující návod vám pomůže změnit používané interní/lokální názvy domén na Exchange na plně kvalifikované domény (FQDN), které můžete zabezpečit SSL certifikátem.

Tento postup platí pro verze Exchange 2007, 2010, 2013 a i pro novější. Měli by ho provádět pouze zkušení administrátoři. Nevztahuje se na Windows Server 2012 nebo Microsoft Small Business Financials (SBF).

Proč není možné používat nekvalifikované názvy domén?

Od 1.11.2015 není možné do certifikátů vkládat nekvalifikované DNS názvy, kterými jsou hostname, vlastní domény či rezervované (interní) IP adresy. Platnost pravidla a jeho vynucení pochází z Baseline Requirements CAB fora, které upravují podmínky pro vydávání certifikátů. Více informací najdete v článku Guidance on Internal Names.

Použití interních domén jako .local nebo .corp bylo běžnou praxí na serverech Microsoft Exchange. Tyto názvy však není možné certifikátem zabezpečit, protože autorita DNS názvy neodpovídající FQDN do certifikátu nevloží.

Jak vyřešit problém s nutností použít FQDN?

Z řádků výše vyplývá skutečnost, že není možné získat certifikát pro nekvalifikované domény a tyto domény nesmí být ani jako DNS názvy v SAN certifikátech.

Řešením problému je "přejmenování" nekvalifikovaných domén jako .local na domény kvalifikované; tedy takové, které jsou registrované pod některou z TLD (jejichž majitel je dohledatelný ve WHOIS dané TLD).

S přejmenováním vám pomůže náš návod níže. Využít ale můžete i bezplatný nástroj od DigiCertu, který si můžete stáhnout zde. S jeho pomocí si ušetříte manuální konfiguraci a zajistíte, aby váš exchange server splňoval podmínky použití FQDN domény v použitých názvech domén.

Přejmenování použité domény

K přejmenování domény používané serverem Exchange je potřeba spustit tyto příkazy v konzoli serveru. Spusťte Exchange Management Shell a postupně zadávejte:

Změny na serveru by měli provádět pouze zkušení administrátoři. Pokud neznáte význam níže uvedených příkazů, tak je doporučujeme nezadávat. Neneseme odpovědnost za případnou nefunkčnost serveru.

Adresu pro službu Autodiscover změníte zadáním:

Set-ClientAccessServer -Identity Your_Server_Name -AutodiscoverServiceInternalUri https://mail.sslmarket.com/autodiscover/autodiscover.xml

Parametr InternalUrl pro službu EWS změníte zadáním:

Set-WebServicesVirtualDirectory -Identity "Your_Server_NameEWS (Default Web Site)" -InternalUrl https://mail.sslmarket.com/ews/exchange.asmx

Používáte-li službu Web-based Offline Address Book, tak atribut InternalUrl změníte zadáním:

Set-OABVirtualDirectory -Identity "Your_Server_Nameoab (Default Web Site)" -InternalUrl https://mail.sslmarket.com/oab

Používáte-li službu Unified Message service, tak atribut InternalUrl změníte zadáním:

Set-UMVirtualDirectory -Identity “Your_Server_Nameunifiedmessaging (Default Web Site)” -InternalUrl https://mail.sslmarket.com/unifiedmessaging/service.asmx

V závislosti na vaší konfiguraci může být potřeba zadat ještě tyto příkazy:

Set-ActiveSyncVirtualDirectory -Identity "HostNameMicrosoft-Server-ActiveSync (Default Web Site)" -InternalUrl https://mail.sslmarket.com/Microsoft-Server-ActiveSync Set-OWAVirtualDirectory -Identity "HostNameowa (Default Web Site)" -InternalUrl https://mail.sslmarket.com/owa Set-ECPVirtualDirectory -Identity "HostNameecp (Default Web Site)" -InternalUrl https://mail.sslmarket.com/ecp Set-OutlookAnywhere -Identity "HostNameRpc (Default Web Site)" -InternalHostname mail.sslmarket.com -InternalClientsRequireSsl $true

Po dokončení restartujte aplikační pooly

Po provedení změn restartuje aplikační pooly v IIS. Tuto možnost najdete v IIS a u Application Pools . klikněte pravým tlačítkem na MSExchangeAutodiscoverAppPool a zvolte Recycle

V případě potřeby neváhejte kontaktovat naši zákaznickou podporu, která vám pomůže s výběrem certifikátu a jakýmkoliv dotazem.

Byl tento článek pro vás užitečný?